Всё, что нужно знать о персональных данных. Роскомнадзор - обращения граждан и юридических лиц Форма обратной связи - удобный функционал

Сегодня много говорят о законе об обработке персональных данных № 152-ФЗ «О персональных данных», пугают большими штрафами и нагоняют ужаса в интернет. В этой статье я не буду разбирать сам закон, это вы можете почитать в интернет. Мы разберем технический момент, как оформить контактную форму в соответствии с законом.

В шаблоне AB-Inspiration есть встроенная форма обратной связи, в шаблоне страницы «Контакты». К сожалению мы уже не можем использовать данную страницу, и в ближайшем будущем я удалю ее из шаблона.

Вместо встроенной страницы «Контакты» мы будем использовать «Contact Form 7». Это отличный плагин для создания различных форм, в том числе и формы обратной связи.

Это руководство подходит для всех сайтов созданных на WordPress, не важно пользуетесь вы шаблоном AB-Inspiration или нет.

Итак, первое, что нужно сделать, это установить и активировать плагин «Contact From 7» (если он у вас еще не установлен)

1. В админке зайдите в раздел «Плагины» — «Добавить новый»
2. В поле поиска введите запрос «Contact From 7»
3. В списке плагинов найдите плагин с названием «Contact Form 7» автор Takayuki Miyoshi (https://ru.wordpress.org/plugins/contact-form-7/)
4. Нажмите Установить
5. Затем нажмите Активировать

Установка контактной формы на страницу Контакты

Теперь нам нужно установить контактную форму на страницу Контакты. При установке и активации плагина у вас уже создается одна контактная форма. Ее мы и будем использовать.

Чтобы установить форму, нам нужно скопировать шорткод формы. Для этого:

1. перейдите в раздел Contact from 7 — Формы
2. Скопируйте шорткод формы

3. Перейдите в раздел «Страницы» — «Добавить новую»

4. Напишите название страницы

5. В поле для текста вставьте скопированный шорткод формы

Теперь у нас есть форма обратной связи на странице. До и после шорткода вы можете добавить текст.

Как добавить галочку политики конфиденциальности

Следующим шагом необходимо добавить к форме галочку согласие с политикой конфиденциальности и обработки персональных данных.

Для этого нам необходимо отредактировать форму.

3. В коде, перед кнопкой «Отправить» поставьте мышку и нажмите на кнопку «checkboxes»

4. Отметьте галочкой «Required», чтобы поле было обязательным

5. пропишите латинскими буквами название поля, например politika

6. В поле пропишите текст-согласие (Например, Согласен (-на) с политикой конфиденциальности и обработки персональных данных. Или Нажимая на кнопку ясогласен (-на) с условиями Соглашения.)

7. Нажмите на кнопку «Insert tag»

Откройте страницу с формой. Перед кнопкой Отправить должен появится чекбокс с текстом.

Ссылка на страницу политики обработки данных

Еще один важный момент. Перед кнопкой отправить должна быть ссылка на саму страницу, где описывается политика конфиденциальности и обработки персональных данных. Процесс будет состоять из 3-х этапов.

1. Создать страницу «Политика конфиденциальности и обработки персональных данных»

Такую страницу необходимо заранее создать. Примеры текста для такой страницы вы можете найти в интернет и переделать под себя.

После того, как вы создадите такую страницу, скопируйте ее адрес.

Если вы не знаете HTML, то для формирования ссылки можете воспользоваться редактором записей.

1. Страницы — Добавить новую

2. В поле для текста напишите, например: «Соглашение»

4. Перейдите во вкладку Текст

5. скопируйте код

Теперь нужно вставить этот код перед кнопкой Отправить.

1. Перейдите в раздел «Contact from 7» — «Формы»

2. Откройте форму для редактирования

3. Перед кнопкой вставьте скопированный код

Откройте страницу с формой и перед кнопкой «Отправить» вы увидите ссылку на страницу с политикой конфиденциальности.

Роскомнадзор проверяет компании, рекламирующие свою деятельность в интернете, на предмет соблюдения закона о персональных данных. Обыкновенная форма обратной связи, размещенная на сайте, ныне приравнивается к незаконному сбору персональной информации. Оштрафованные уже есть, и список будет пополняться.

Заполнная пользователем форма обратной связи может подвести под штрафные санкции любую компанию, хоть российскую, хоть зарубежную. Чтобы избежать проблем, на страницу нужно добавить вопрос о том, согласны ли посетители сайта на обработку их персональных данных («если да – поставьте галочку»), а также соглашение о конфиденциальности.

«Тамбовская городская юридическая компания» уже поплатилась: за отсутствие окошка для галочки пришлось заплатить штраф. Наказаны и несколько астраханских компаний, рассказывают интернет-пользователи на страничке в Фейсбуке топ-менеджера компании Notamedia Алексея Бородкина , который посвятил происходящему отдельный пост .

Степан Степаныч я...

История с «Тамбовской городской юридической компанией» произошла минувшим летом: местное отделение Роскомнадзора обратило внимание на то, что на сайте ТКЮК размещена форма обратной связи, составленная из трех полей: «Имя», «Тема сообщения», «Текст». Поле «Имя» было помечено как не обязательное к заполнению. Тем не менее, Роскомнадзор счел нужным отреагировать и оштрафовать компанию на 1 тысячу рублей.

В форме не указано, что необходимо вводить имя «как в паспорте», однако представитель Роскомнадзора Вадим Ампелонский считает, что по умолчанию речь идет о подлинном имени пользователя. В сочетании с электронной почтой оно превращается в те самые «персональные данные», которые подлежат защите.

Юристы обратились в суд, аргументируя свою позицию тем, что по одному полю «Имя» идентифицировать личность пользователя невозможно, а, значит, нарушения нет. Тамбовский суд, однако, принял сторону ведомства. «Назначенное наказание ООО «ТГЮК» соответствует характеру и степени общественной опасности совершенного правонарушения» , – говорится в решении суда . Деньги пришлось заплатить небольшие, но сам прецедент – крайне досадный.

Огласите весь список!

В Астрахани, кстати, выписанные (на том же основании – нарушение закона о персональных данных) штрафы составили 5-10 тысяч рублей. Наказали там, в частности, компанию-застройщика, которая через сайт продавала свои квартиры. Форма обратной связи состояла всего из двух полей: «Имя» и «Телефон»; заполнив ее, можно было оставить заявку на звонок менеджера.

Астраханские журналисты обратили внимание на то, что названия всех оштрафованных Роскомнадзором компаний начинаются на букву «А». Возможно, ведомство методично проверяет все сайты по алфавиту?

«Какая-то чудовищная по своей нелепости история , – пишет Бородкин. – ...Получается, теперь на все формы обратной связи нужно вешать соглашения о конфиденциальности и галочку о согласии с обработкой персональных данных; кроме того, выходит, что сообщения с формы обратной связи надо хранить как персональные данные – а это тоже отдельный цирк с конями» .

Самый «цирк», пожалуй, в том, что на официальном сайте самого Роскомнадзора форма обратной связи есть, а вот «галочки» к ней – нет. Представитель ведомства Вадим Ампелонский парирует: согласно законодательству, при обращении в госструктуру согласие на обработку своих персональных данных не требуется...

По цвету пиджака

Понятно, что добавить на сайт текст соглашения и необходимое окошко не составляет большого труда. Вопрос в размытости признаков «состава преступления», считает Алексей Бородкин.

На сегодняшний день персональными данными может считаться «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». И вот это «косвенное определение» позволяет проверяющим, при желании, придраться к чему угодно, считает топ-менеджер: «Под это можно притянуть любую информацию о пользователе вплоть до цвета его пиджака» . Чтобы избежать регулярных конфликтов с оштрафованными предпринимателями, Роскомнадзору стоило бы выработать четкий перечень требований, которому должны соответствовать сайты. Тогда, по крайней мере, будет ясно, что запрещено – а что разрешено.

На сегодня за нарушение закона о персональных данных грозит административной ответственностью. Максимальный штраф для юридических лиц составляет 10 тысяч рублей. С 1 июля, после вступления в силу поправок к КоАП, сумма штрафа вырастет до 30 тысяч. Самое неприятное, что может грозить нарушителям, – блокировка сайта по решению суда.

Например, девушка создала форум для беременных, чтобы потом размещать там рекламу. При регистрации участники указывают информацию о себе. Эта девушка - оператор персональных данных. Она получает сведения о других людях и что-то с этими данными делает: систематизирует по возрасту и интересам, проверяет активность пользователей, использует для рассылки, приглашений или просто хранит.

Любое из этих действий - это обработка персональных данных. Любой, кто это действие производит, - оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Нет, в таких случаях согласие не нужно. Под действие закона не попадают персональные данные, которые обрабатывают для личных и семейных нужд. Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей на фейсбуке.

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные - то да, попадает.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор - это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение .

Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму , можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту - это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

По закону персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это определение ничего не дает и не проясняет.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минкомсвязи конкретики не дает и говорит так: более точно определить состав персональных данных, в том числе привести их перечень, представляется нереализуемым. Никаких четких пояснений от других ведомств по этому поводу тоже нет.

Если будет спор по поводу принадлежности почты или логина к персональным данным, всё решит суд. Несколько решений по поводу персональных данных суды уже вынесли. Из них следует очевидное: персональными данными считаются ФИО , паспортные данные, адрес, номера телефонов, информация о членах семьи, из пенсионного дела и трудового договора. Еще из них следует неочевидное: ИНН сам по себе не является персональными данными, а данные о факте пересечения границы - являются.

Сам по себе логин - это вроде бы не персональные данные. По набору символов нельзя понять, что это за человек и даже какого он пола.

Но если на аватарку человек поставит свою настоящую фотографию или при регистрации укажет почту, где в названии будет его фамилия с инициалами, а в доменном имени - название компании, то в совокупности это уже персональные данные.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Если вы где-нибудь с какой-нибудь целью собираете любую информацию о каких-то физических лицах, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. По закону можно собирать персональные данные и передавать их кому-то на обработку. Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин - сервису рассылки.

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Ответственность на владельце

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон - должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП , спросят с него. Если таких данных нет, спросят с администратора домена.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

• сам проведет проверку;
• отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах. Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях . Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за границей.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

А если у нас сайт на английском?

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ . Теоретически Роскомнадзор имеет право и может его заблокировать.

Вот какие признаки используют, чтобы это понять:

• доменное имя связано с РФ или субъектом;
• есть русскоязычная версия сайта;
• расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ ;
• потребители содержимого сайта - россияне;
• есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы должны быть доступны и понятны в РФ . Достаточно иметь их на русском языке, чтобы их понимал Роскомнадзор и граждане России. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но эти правила придумали не в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон той страны, резидентами которой они являются.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 1 июля 2017 года - 75 тысяч рублей.

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, - это формальность. Важно, какие именно данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не попадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных .

Вот публикую я пост в фейсбуке и упоминаю своего друга - значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Это не нарушение закона. В этом случае оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все пользователи фейсбука

Маргарита Ледовских

Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 19 лет я работаю в сфере информационного права, из них 6 лет руковожу проектом "Право в сети".

Поиск по сайту

Оказываем услуги по регистрации сайтов в качестве СМИ

Подготовительный этап Во-первых, нужно время на подготовительные действия. Пишу об этом, поскольку иногда не учитывают эти моменты. Учредителям- физическим лицам как минимум нужно посетить банк и нотариуса, чтобы сделать нотариальные копии документов. Вы скажете, что можно оплатить через онлайн-банк, не выходя из дома, и это чистейшая правда, но даже в этом случае надо идти […]

Очень часто, если человек разозлен, обижен, от него можно услышать такие слова: «Да я на тебя подам иск о компенсации морального вреда». И вот уже может показаться, что если человек переживает, если в интернете о нем распространена какая-то негативная информация, он недоволен покупкой в интернет-магазине, в негодовании, что на него, по его мнению, подали незаконный […]

Некоторые астраханские организации, название которых начинается на букву «а», в начале 2017 года получили штраф за то, что на своем сайте создавали форму обратной связи. Прокуратура усмотрела в наличии формы нарушение закона о персональных данных. Нарушителям полагается штраф в 5 000 и 10 000 рублей.

А ТАК УДОБНО...

Форма обратной связи - удобный функционал.

Можно оставить свое имя и телефон, сотрудник фирмы сам позвонит, не нужно тратиться на звонок. «Мы торгуем новыми квартирами. На нашем сайте была самая распространенная форма обратной связи - в которую люди, если хотели, вбивали свое имя и телефон. Прокуратура усмотрела в этом нарушение закона о персональных данных, суд поддержал решение прокуратуры, и нам выписали штраф в пять тысяч рублей», - говорит сотрудник астраханской строительной фирмы Сергей.

Судя по постановлению, владелец сайта нарушил пункт 2 статьи 18 федерального закона «О персональных данных», где говорится об обязанностях оператора при сборе персональных данных.

Формулировка пункта туманна: «Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные».

НАЧНЕМ С БУКВЫ "А"

Астраханский интернет-специалист директор ООО «Институт региональной информатизации» Сергей Бузычкин, рассказал нам, что продавцы квартир – не единственные, кто сейчас вынужден платить штраф за нарушение закона о персональных данных, ему стало известно о трех похожих случаях. Примечательно, что прокуратура, видимо, взялась штрафовать по алфавиту - название трех фирм, которые обратились к Бузычкину за разъяснением по аналогичному вопросу, начинается на букву «а».

Насколько законны такие штрафы? Фирма Сергея Бузычкина оказывает помощь в ведении сайтов многим астраханским фирмам. Когда появились тревожные звоночки о штрафах, интернет-специалисты удивились. Ведь, кажется, нет ничего криминального в том, что пользователю предлагается указать свой телефон и имя (которое можно написать какое угодно, необязательно свое собственное). Ведь сообщаем же мы и свое имя, и номер телефона при знакомстве - и никакая прокуратура получателя этих данных не штрафует. Но в интернете, оказывается, все по-другому.

«Закон относит к персональным данным фамилию, имя, отчество, дату рождения, место регистрации, паспортные данные, сведения об образовании, иные данные, то есть любую информацию, относящуюся к прямо или косвенно определяемому физическому лицу. Значит, указание в формах обратной связи имени уже подпадает под сбор персональных данных», - сообщает Сергей Бузычкин.